Freigeben über

Was ist Azure-Netzwerksicherheit?

Die Netzwerksicherheit ist ein wichtiger Aspekt des Cloud Computing, da sie die Daten und Anwendungen schützt, die auf der Cloud ausgeführt werden, vor verschiedenen Bedrohungen und Angriffen. Azure bietet einen umfassenden Satz von Netzwerksicherheitslösungen, mit denen Sie sichere und robuste Netzwerke in der Cloud entwerfen, bereitstellen und verwalten können.

Screenshot der Symbole für Azure Firewall, Azure DDoS Protection und Azure Web Application Firewall.

Einer der Leitprinzipien der Azure-Netzwerksicherheit ist das Zero Trust-Modell, das davon ausgeht, dass kein Netzwerk oder Gerät inhärent sicher oder vertrauenswürdig ist. Stattdessen sollte jede Anforderung und Verbindung basierend auf Daten, Identität und Kontext verifiziert und validiert werden. Das Zero Trust-Modell hilft Ihnen, unbefugten Zugriff zu verhindern, laterale Bewegungen einzuschränken und die Angriffsfläche Ihrer Netzwerke zu reduzieren.

Auswählen einer Lösung

Die Auswahl der richtigen Netzwerksicherheitslösung für Ihre Azure-Workloads hängt von Ihren spezifischen Anforderungen und Anforderungen ab. Azure bietet eine Vielzahl von Netzwerksicherheitsdiensten, die einzeln oder in Kombination verwendet werden können, um Ihre Workloads zu schützen. Im Folgenden sind einige wichtige Faktoren aufgeführt, die Sie bei der Auswahl einer Netzwerksicherheitslösung berücksichtigen sollten:

  • Workloadtyp: Verschiedene Workloads weisen unterschiedliche Sicherheitsanforderungen auf. Webanwendungen können beispielsweise Schutz vor Webangriffen erfordern, während virtuelle Computer möglicherweise Schutz vor netzwerkbasierten Angriffen erfordern.
  • Bereitstellungsmodell: Azure stellt verschiedene Bereitstellungsmodelle für Netzwerksicherheitsdienste bereit, z. B. virtuelle Appliances, verwaltete Dienste und integrierte Lösungen. Wählen Sie das Modell aus, das Ihren Anforderungen am besten entspricht.
  • Integration in andere Azure-Dienste: Viele Azure-Netzwerksicherheitsdienste sind in andere Azure-Dienste integriert, z. B. Azure Monitor, Azure Security Center und Microsoft Sentinel. Wählen Sie eine Lösung aus, die problemlos in Ihre vorhandenen Azure-Dienste integriert werden kann, um die Sicherheit und Überwachung zu erhöhen.
  • Kosten: Verschiedene Netzwerksicherheitsdienste weisen unterschiedliche Preismodelle auf. Wählen Sie eine Lösung aus, die Ihrem Budget entspricht, und stellen Sie das maß an Schutz bereit, den Sie benötigen.
  • Complianceanforderungen: Je nach Branche und Standort verfügen Sie möglicherweise über spezifische Complianceanforderungen, die Ihre Netzwerksicherheitslösung erfüllen muss. Wählen Sie eine Lösung aus, die Ihnen dabei helfen kann, diese Anforderungen zu erfüllen.
  • Skalierbarkeit: Wenn Ihre Workloads wachsen, sollte Ihre Netzwerksicherheitslösung mit ihnen skaliert werden können. Wählen Sie eine Lösung aus, die erhöhten Datenverkehr und Workloads verarbeiten kann, ohne die Sicherheit zu beeinträchtigen.
  • Verwaltung und Überwachung: Wählen Sie eine Lösung aus, die einfache Verwaltungs- und Überwachungsfunktionen wie Dashboards, Warnungen und Berichte bietet. Auf diese Weise können Sie Sicherheitsvorfälle schnell identifizieren und darauf reagieren.

Azure Firewall

Azure Firewall ist ein cloudeigener, intelligenter Netzwerkfirewalldienst, der einen vollständigen zustandsvollen Schutz mit integrierter Hochverfügbarkeit und unbegrenzter Cloudskalierbarkeit bietet. Es bietet Sowohl Netzwerk- als auch Anwendungssicherheit für Ihre Azure-Workloads. Als verwalteter Dienst kann Azure Firewall in einem virtuellen Netzwerk bereitgestellt und nahtlos in andere Azure-Dienste wie Azure Monitor, Azure Security Center und Microsoft Sentinel integriert werden, um die Sicherheit und Überwachung zu erhöhen.

Diagramm, das zeigt, wie die Azure-Firewall den Datenverkehr zum und vom Internet überprüft, bevor er an das Ziel weitergeleitet wird.

Je nach Ihren Anforderungen können Sie aus drei Azure Firewall-SKUs auswählen:

  • Basis: Die Basis-SKU ist eine kostengünstige Option für einfache Firewalllösungen in Azure-Workloads. Es bietet wichtige Features wie Netzwerk- und Anwendungsfilterung, Netzwerkadressübersetzung und Protokollierung.
  • Standard: Die Standard-SKU ist eine erweiterte Option, die zusätzliche Features wie DNS-Proxy und Webkategorien enthält. Es wurde für umfassendere Firewalllösungen in Azure-Workloads entwickelt.
  • Premium: Premium-SKU ist die fortschrittlichste Option, die alle Features der Standard-SKU sowie zusätzliche Features wie TLS-Inspektion, Angriffserkennung und -prävention sowie URL-Filterung umfasst. Sie wurde für die höchste Sicherheits- und Kontrollesebene in Azure-Workloads entwickelt.

Anwendungsfälle

  • Netzwerksicherheit: Schützen Sie Ihre Azure-Workloads vor netzwerkbasierten Angriffen und nicht autorisiertem Zugriff.
  • Anwendungssicherheit: Schützen Sie Ihre Azure-Workloads vor anwendungsbasierten Angriffen und Sicherheitsrisiken.
  • Angriffserkennung und -prävention: Überwachen Sie Ihr Netzwerk auf böswillige Aktivitäten, protokollieren Sie Informationen zu dieser Aktivität, melden Sie sie, und versuchen Sie optional, es zu blockieren.
  • TLS-Inspektion: Untersuchen und entschlüsseln Sie TLS-Datenverkehr, um Bedrohungen zu erkennen und zu blockieren, die im verschlüsselten Datenverkehr verborgen sind.
  • URL-Filterung: Steuern des Zugriffs auf bestimmte URLs oder URL-Kategorien basierend auf den Richtlinien Ihrer Organisation.

Weitere Informationen finden Sie in der Übersicht über Azure Firewall.

Azure DDoS-Schutz

Azure DDoS Protection ist ein Dienst, der erweiterte DDoS-Entschärfungsfeatures zum Schutz vor DDoS-Angriffen bereitstellt. Er wird automatisch optimiert, um Ihre spezifischen Azure-Ressourcen in einem virtuellen Netzwerk zu schützen. Der Schutz lässt sich einfach auf neuen oder vorhandenen virtuellen Netzwerken oder öffentlichen IP-Adressressourcen aktivieren und erfordert keine Änderungen an Anwendungen oder Ressourcen.

  • IP-Schutz: Azure DDoS IP Protection bietet Schutz für Ihre Azure-Ressourcen, denen eine öffentliche IP-Adresse zugewiesen ist. Sie schützt vor Volumetric-, Protokoll- und Anwendungsschichtangriffen.

    Diagramm, das Azure DDoS Protection veranschaulicht, das auf eine Ressource mit einer öffentlichen IP-Adresse angewendet wird.

  • Netzwerkschutz: Azure DDoS Network Protection bietet Schutz für Ihre Azure-Ressourcen in einem virtuellen Netzwerk, dem eine öffentliche IP-Adresse zugewiesen ist. Es verfügt über zusätzliche Features wie DDoS Rapid Response-Unterstützung, Kostenschutz und WAF-Rabatte.

    Diagramm, in dem Azure DDoS Protection auf virtueller Netzwerkebene für eine Hub-and-Spoke-Topologie aktiviert ist.

Anwendungsfälle

  • Schutz vor DDoS-Angriffen: Schützen Sie Ihre Azure-Ressourcen vor DDoS-Angriffen, einschließlich Volumetric-, Protokoll- und Anwendungsschichtangriffen.
  • Kostenschutz: Schützen Sie Ihre Azure-Ressourcen vor unerwarteten Kosten aufgrund von DDoS-Angriffen.
  • Schnelle Reaktion: Erhalten Sie schnelle Reaktionsunterstützung von Azure DDoS-Experten im Falle eines DDoS-Angriffs.

Weitere Informationen finden Sie in der Übersicht über Azure DDoS Protection Standard.

Azure-Webanwendungsfirewall

Die Azure Web Application Firewall (WAF) ist eine Webanwendungsfirewall, die zentralen Schutz für Ihre Webanwendungen vor häufigen Exploits und Sicherheitsrisiken bietet. WAF verwendet Regeln, um HTTP-Anforderungen und -Antworten zu überwachen, und er kann Datenverkehr basierend auf den von Ihnen definierten Regeln blockieren oder zulassen.

Diagramm zur Veranschaulichung der Azure-Webanwendungsfirewall, die sowohl auf Azure-Anwendungsgateway als auch auf Azure Front Door angewendet wird und gültige Anforderungen zulässt und Webangriffe blockiert.

WAF ist in zwei Bereitstellungsoptionen verfügbar:

  • Azure Application Gateway WAF: Azure Application Gateway ist ein Webdatenverkehrs-Lastenausgleich (OSI-Schicht 7), mit dem Sie den Datenverkehr zu Ihren Webanwendungen verwalten können.
  • Azure Front Door WAF: Azure Front Door ist ein skalierbarer und sicherer Einstiegspunkt für die schnelle Bereitstellung Ihrer globalen Anwendungen. Es bietet SSL-Offload, Anwendungsbeschleunigung und globalen Lastenausgleich mit sofortigem Failover.

Anwendungsfälle

  • Schutz vor Webangriffen: Schützen Sie Ihre Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken, z. B. SQL-Einfügung und websiteübergreifendes Skripting (XSS).
  • Zentrale Verwaltung: Verwalten Sie Ihre Webanwendungsfirewallregeln und -richtlinien von einem einzigen Speicherort aus.
  • Integration in Azure-Dienste: Integrieren Sie WAF in andere Azure-Dienste, z. B. Azure-Anwendungsgateway und Azure Front Door, um die Sicherheit und Leistung zu verbessern.
  • Benutzerdefinierte Regeln: Erstellen Sie benutzerdefinierte Regeln, um Ihre spezifischen Sicherheitsanforderungen und Richtlinien zu erfüllen.
  • Botschutz: Schützen Sie Ihre Webanwendungen vor böswilligen Bots und automatisierten Angriffen.

Weitere Informationen finden Sie in der Übersicht über die Azure-Webanwendungsfirewall.

Azure-Portal-Benutzeroberfläche

Das Azure-Portal bietet eine einheitliche Benutzeroberfläche für die Verwaltung Ihrer Netzwerksicherheitsdienste. Sie können Ihre Netzwerksicherheitsdienste ganz einfach von einem einzigen Ort aus erstellen und verwalten, und Sie können auch den Status und den Gesundheitszustand Ihrer Dienste anzeigen.

Screenshot der Netzwerksicherheitsauswahl im Azure-Portal.

Allgemeine Netzwerksicherheitsszenarien

Der Netzwerksicherheitshub unterstützt derzeit die folgenden Bereitstellungsoptionen:

  • Gesichertes virtuelles Hub-and-Spoke-Netzwerk: Bereitstellen einer Azure-Firewall in einem virtuellen Netzwerk, das als Hub festgelegt ist. Dieses virtuelle Hubnetzwerk kann eine Verbindung mit mehreren virtuellen Spokenetzwerken herstellen, indem das Peering virtueller Netzwerke verwendet wird. Die Azure-Firewall ist einer Azure-Firewallrichtlinie zugeordnet, die die Regeln und Konfigurationen für die Firewall definiert. Dieses Bereitstellungsmodell eignet sich ideal für Organisationen, die netzwerksicherheit und -verwaltung an einem Ort zentralisieren möchten.

  • Schützen Sie virtuelle WANs im großen Maßstab: Stellen Sie eine Azure-Firewall in einem durch Azure Virtual WAN gesicherten Hub bereit. Die Azure-Firewall ist einer Azure-Firewallrichtlinie zugeordnet, und der gesicherte Hub ist mit mehreren Zweigstellen und Remotebenutzern verbunden. Dieses Bereitstellungsmodell eignet sich ideal für Organisationen, die Azure Virtual WAN verwenden, um mehrere Zweigstellen und Remotebenutzer mit Azure-Ressourcen zu verbinden.

  • Zero Trust für Webanwendungen: Verwenden Sie das Azure-Anwendungsgateway mit einer WAF-Richtlinie (Azure Web Application Firewall), um regionale Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken zu schützen. Passen Sie die WAF-Richtlinie an, um die spezifischen Sicherheitsanforderungen Ihrer Webanwendungen effektiv zu erfüllen.

  • Sichere Bereitstellung von Cloudinhalten: Verwenden Sie Azure Front Door mit einer WaF-Richtlinie (Azure Web Application Firewall), um die Bereitstellung Ihrer globalen Webanwendungen zu schützen und zu optimieren. Mit diesem Bereitstellungsmodell wird eine sichere und effiziente Anwendungsleistung sichergestellt, sodass Sie die WAF-Richtlinie an bestimmte Sicherheitsanforderungen anpassen können.

Nächste Schritte

Erfahren Sie mehr über die verschiedenen Features und Funktionen jedes Azure-Netzwerksicherheitsdiensts:

Dokumentation zur Azure-Netzwerksicherheit